Oracle confirma violação de dados de clientes em sistemas cloud

A Oracle está a notificar, de forma reservada, alguns clientes sobre uma violação de dados que afetou os seus sistemas em cloud, apesar de ter negado publicamente qualquer ataque ao Oracle Cloud. A situação ganhou visibilidade depois de um cibercriminoso, conhecido pelo pseudónimo 'rose87168', ter exigido 20 milhões de dólares à empresa e, posteriormente, ter colocado os dados à venda ou proposto trocá-los por explorações zero day.

O atacante alega ter obtido milhões de registos associados a mais de 140 mil clientes da Oracle Cloud, incluindo credenciais encriptadas. Como prova, divulgou uma amostra de 10 mil registos, um vídeo de uma alegada reunião interna da Oracle e outros ficheiros que aparentam demonstrar acesso a sistemas da empresa.

Algumas empresas de cibersegurança analisaram os dados divulgados e consideraram-nos autênticos, associados a ambientes de produção, confirmando a exposição de informação real de clientes. Estas conclusões contrariam a posição oficial da Oracle, que, após as alegações do cibercriminoso, garantiu que “não houve violação do Oracle Cloud” e que “nenhum cliente do Oracle Cloud sofreu uma violação ou perdeu dados”.

Segundo fontes citadas pela Bloomberg, a empresa está a notificar verbalmente alguns clientes sobre uma violação que envolver nomes de utilizador, palavras-passe e credenciais encriptadas. A Oracle indicou que os dados comprometidos dizem respeito a um legacy environment, fora de uso há oito anos, o que, na sua perspetiva, reduz os riscos para os clientes.

No entanto, outras fontes garantem que algumas credenciais são de 2024, e o investigador Kevin Beaumont acusa a Oracle de jogar com a linguagem ao referir-se ao ambiente como “Oracle Classic”, evitando o uso direto do termo Oracle Cloud. Esta distinção, diz investigador, tem permitido à empresa negar tecnicamente a violação dos seus serviços em cloud atuais.

Já a empresa de cibersegurança CyberAngel adiantou que a violação terá afetado servidores ‘Gen 1’, e não os mais recentes ‘Gen 2’. A exposição, segundo a mesma fonte, ocorreu através de uma exploração Java de 2020 que permitiu ao atacante instalar um webshell e malware, o que permite aceder ao banco de dados de identidade da Oracle.

De acordo com a CyberAngel, a presença do invasor no sistema remonta a janeiro de 2025, tendo a Oracle detetado indícios do incidente no final de fevereiro. A tentativa de extorsão terá ocorrido já em março, e foi nesse momento que a empresa terá conseguido remover o acesso malicioso.

Apesar de tudo, os contactos da Oracle com os clientes permanecem informais e não documentados por escrito, o que está a gerar críticas no setor. Kevin Beaumont insiste que “a Oracle precisa de comunicar de forma clara, aberta e pública o que aconteceu, como é que a situação afeta os clientes e o que estão a fazer a esse respeito”.

Entretanto, surgiram relatos de uma possível violação adicional relacionada com a Oracle Health, alegadamente envolvendo dados de pacientes de várias instituições de saúde norte-americanas. No entanto, não existem, para já, indícios de que este caso esteja relacionado com o incidente principal.